springboot+shiro 怎么拦截 restful 风格的URL,判断其是否有权限

/**
 * DESC:
 * 权限校验过滤器
 */
public class PermissionFilter extends AccessControlFilter {
    @Override
    protected boolean isAccessAllowed(ServletRequest request,
                                      ServletResponse response, Object mappedValue) throws Exception {

      

        HttpServletRequest httpRequest = ((HttpServletRequest)request);
        /**
         * 这里需要处理一下请求的URL路径,把它转成shiro addStringPermission 存储的URL格式,如:/user/email
         * 所以这里替换了一下,使用根目录开始的URI
         */
        String uri = httpRequest.getRequestURI();//获取URI
        System.out.println("当前请求的URL:"+uri);
        String basePath = httpRequest.getContextPath();//获取basePath
        if(null != uri && uri.startsWith(basePath)){
            uri = uri.replaceFirst(basePath, "");
        }

       
        if(subject.isPermitted(uri)){
            System.out.println("有权限");
            return Boolean.TRUE;
        }
    
    

上面的URL拦截并判断权限,如果是传统的URL的话可以很容易的判断是否有权限。但是如果时restful 风格的url的话怎么拦截判断是否有权限呢?因为数据库权限表保存的URL是没有带参数的比如:/user 但是restful风格API请求时会携带参数 : /user/1

所以使用:

        if(subject.isPermitted(uri)){
            System.out.println("有权限");
            return Boolean.TRUE;
        }
根本不能判断,  
    
阅读 677
评论 2019-07-22 提问
    2 个回答

    通过new AntPathMatcher()来判断,对于/a/b/{id}形式的api支持通配符的匹配,用/a/b/ 即可以,注意要用两个

    private static final AntPathMatcher MATCHER = new AntPathMatcher();
    
      private static boolean matchPath(HttpServletRequest request, String pattern) {
        if (pattern.equals(MATCH_ALL)) {
          return true;
        }
        boolean matchResult = MATCHER.match(pattern, getRequestPath(request));
        log.info(format("Request path = [%s], Security path = [%s], match result = [%s]", getRequestPath(request), pattern, matchResult));
        return matchResult;
      }
    
    
    评论 赞赏 2019-09-11

      可以通过 AntPathMatcher 来判断 URI 是否匹配,只是需要将数据库中存储的 URI 改为为 Ant 风格的 URI,如:/users/**

      评论 赞赏 2019-09-10
        撰写回答

        登录后参与交流、获取后续更新提醒